PiHole und OpenVPN / Docker. Zugriff von Außen. Aber wie?

[Geeky26]

Ich habe seit langer Zeit PiHole als Docker laufen. Alles funktioniert. Aber jetzt habe ich den Wunsch von Außen mit dem Smartphone den PiHole zu nutzen.

Das ist ein absolutes Rätsel für mich. Was muss ich hier machen, damit alles vernünftig im Docker läuft?
Ich hab ein paar Domains bei Inwx. Der Webspace ist woanders. Kann ich die irgendwie benutzen?

Es gibt hier zwar das hier: https://github.com/mr-bolle/docker-openvpn-pihole aber ich habe keine Ahnung was es macht. Die Readme ist mehr als mager.

 

[smuper]

Wo installiert? Infrastruktur? Ports?

 

[Geeky26]

Die Frage verstehe ich nicht. Ich hab auf einem extra PC ohne Bildschirm usw. der im Netzwerk hängt Debian Linux drauf. Dort u.a. Portainer (wegen der Oberfläche). Das Docker Image pihole/pihole ist schon drauf und läuft seit einer Ewigkeit.

 

[smuper]

Also Heimnetz, welche Router? Portfreigaben gemacht? Was hat OpenVPN bisher damit zu tun, im Text schreibst du dazu nichts.

 

[DeusoftheWired]

VPN vom Mobilgerät in dein Heimnetz und dann als DNS des Mobilgeräts die lokale IP des Pi-hole setzen.

Gibt es eigentlich einen bestimmten Grund, weshalb du es im Docker und nicht nativ auf dem Debian-Rechner installiert hast?

Wenn du Webspace hast, der nicht nur als Dateiablage dient, sondern auf dem man auch Dinge installieren kann, kannst du selbstverständlich Pi-hole auch dort nutzen. Welches Paket bei welchem Hoster?

 

[Geeky26]

Wollte es gerade oben hinzufügen. War wohl zu spät.

• Heimnetz
• eigener Rechner ohne Bildschirm mit Debian > PiHole und mehr drauf
• Router: TP-Link Archer C5 (der alte mit 3 Antennen), Firmware: DD-WRT v3.0-r36527 std (08/09/18)
• Keinerlei Portfreigaben, da ich bisher noch gar nicht begonnen habe überhaupt irgendwas zu machen

VPN vom Mobilgerät in dein Heimnetz und dann als DNS des Mobilgeräts die lokale IP des Pi-hole setzen.

Da scheitert es ja schon. Ich kenne mich kein Stück aus. Es wäre sehr nett, wenn jemand das detailliert erklären könnte.

Bis jetzt ist nichts außer PiHole als Docker installiert.

Gibt es eigentlich einen bestimmten Grund, weshalb du es im Docker und nicht nativ auf dem Debian-Rechner installiert hast?

Das Debian Image ist ein OpenMediaVault Image. Auf dem Rechner ist PiHole, JellyFin, WebMin.
Ich packe alles in Docker Container weil das wesentlich komfortabler ist.

 

[smuper]

Ohne Portfreigaben kannst du von außen auch weder OpenVPN noch PiHole erreichen. Dachte aber, du hättest alles installiert und jetzt Probleme den DNS Server zu erreichen.

Ich habe das ganze an einem Vserver so gelöst: Pi-Hole installiert und dann PiVpn installiert. (wollte mir keine manuelle OpenVPN Installation antun und kannte das Prozedere bereits vom Pi-Zero im Heimnetz). Warum Docker?

https://www.kuketz-blog.de/pivpn-raspberry-pi-mit-openvpn-raspberry-pi-teil3/
https://www.kuketz-blog.de/pi-hole-schwarzes-loch-fuer-werbung-raspberry-pi-teil1/

 

[DeusoftheWired]

[*]Router: TP-Link Archer C5 (der alte mit 3 Antennen), Firmware: DD-WRT v3.0-r36527 std (08/09/18)

Mit DD-WRT hast du einen Unterbau, der die Installation von OpenVPN und auch Wireguard erlaubt. Schau vorher, ob es einen Wireguard-Client für dein Mobilgerät gibt, bevor du dich an die Einrichtung machst. OpenVPN gibt es für praktisch alles.

Du kannst einen OpenVPN- oder Wireguard-Server aber auch auf dem Debian-Rechner laufen lassen, mußt dann aber eine Portweiterleitung für die genutzten Ports im Router einrichten.

Weil das aber ohne Vorwissen nicht in ein paar Minuten gemacht ist, ist es unter Umständen für dein Ziel wesentlich einfacher, Pi-hole auf deinem Webspace zu installieren. Das kommt aber wie gesagt darauf an, ob bzw. was du dort installieren kannst.

 

[Geeky26]

Warum Docker?

Ist wesentlich komfortabler alles finde ich.

mußt dann aber eine Portweiterleitung für die genutzten Ports im Router einrichten.

Welche Ports sind das denn für gewöhnlich?
Ich nutze mein Smartphone für Firefox, Google News, Play Store. Also ganz normal wie alle.

 

[smuper]

53 für DNS, wenn ohne VPN nur DNS bereitgestellt werden soll. -> Nicht sonderlich zu empfehlen.

1194 für OpenVPN

 

[Geeky26]

Ach so nur 1 Port. Ich dachte man muss quasi alles "exposen".
Ich versuche das gerade mal mit PiVPN im Docker.
Ok egal klappt nicht. Liegt wohl an Docker.

cannot access '/etc/openvpn/easy-rsa': No such file or directory
Was die Meldung sagt ist klar.

 

[smuper]

Ist das nicht auch das Ziel von Docker? Prozesse/Programme/Installationen voneinander abzuschotten? Docker Forum?

 

[Geeky26]

Wie einfach ist es denn, wenn ich das alles ohne Docker mache?

Ist das nicht auch das Ziel von Docker? Prozesse/Programme/Installationen voneinander abzuschotten? Docker Forum?

Komisch ist es schon, weil hier steht es soll funktionieren: https://hub.docker.com/r/ljishen/pivpn

 

[DeusoftheWired]

Ist wesentlich komfortabler alles finde ich.

Wie einfach ist es denn, wenn ich das alles ohne Docker mache?

Komfortabler? Pi-hole installiert man mit einer Zeile und Updates sollte sich das System sowieso in festen Zeiträumen holen. Durch das Portweitergereiche innerhalb von Docker macht es das ganze komplizierter als nötig, finde ich

Ist das nicht auch das Ziel von Docker?

Kann man auch dafür verwenden, ja, aber das eigentliche Ziel ist es, vorgefertigte Images für eine Laufzeitumgebung zur Verfügung stellen zu können, mit denen jeder die gleichen gesetzten Umgebungsvariablen hat.

 

[smuper]

Siehe Anleitungen im Post oben.

 

[Geeky26]

Ich schalte meinen PiHole Docker mal ab und versuche es mit der Anleitung oben.

1194 für OpenVPN

Ist es für Wireguard auch dieser Port? Hier steht es so. Aber ich frage lieber euch Profis noch einmal: https://www.reddit.com/r/pihole/comments/bl4ka8/guide_pihole_on_the_go_with_wireguard/

Ich bin ja schon leicht überfordert. Denn die Anleitung sagt nichts darüber, welchen DNS-Server ich auswählen soll.
Ich habe da jetzt mal 127.0.0.1,9.9.9 eingegeben. Den Rest mache ich gleich.

 

[smuper]

Ist egal, änderst du nachher in der Anleitung eh manuell.

 

[Geeky26]

Jetzt wird es interessant.
Kann ich meine eigene domain die ich bei Inwx habe irgendwie verwenden? Diese ganzen DynDNS-Anbieter sind mir suspekt. Früher waren die alle kostenlos und heute alles voll mit Werbung oder man muss bezahlen.

Oder verstehe ich hier irgendwas falsch?

 

[Raijin]

53 für DNS, wenn ohne VPN nur DNS bereitgestellt werden soll. -> Nicht sonderlich zu empfehlen.

Das ist nicht nur "nicht sonderlich zu empfehlen", sondern ist brandgefährlich! Schon mal was von DNS-Amplification-Attacks gehört? Mit 10 Mbit/s Upload kann man damit einen Server mit bis zu 500 Mbit/s bombardieren, weil DNS einen Verstärkungsfaktor von bis zu 50 hat!

Ich muss es daher sehr deutlich schreiben:

Ein öffentlich erreichbarer DNS-Server hat NICHTS in den Händen von Laien zu suchen!

Im schlimmsten Falle bekommt man sogar Post vom Provider oder ggfs dem Hoster (wenn es sich um einen Mietserver handelt), weil ein "Open DNS resolver" erkannt wurde oder gar eine Beschwerde über eine DNS-Attacke eingegangen ist. Das kann bis zur Kündigung des Vertrags gehen.


Ich möchte daher nochmal mit Nachdruck darauf hinweisen, dass man den eigenen pihole entweder NUR über VPN nutzt wie hier bereits besprochen wurde oder aber einen public DNS sucht (gibt'sauch mit pihole). Die public DNS sind entsprechend fachfraulich/-männisch gesichert, zB mit Rate Limiting und dergleichen.

 

[Geeky26]

Ich habe jetzt PiVPN installiert, Port 1094 und die Kiste neugestartet. Docker ist aus.
Über Putty bekomme ich keine Verbindung mehr zu der Maschine. Wenn ich den Rechner an einen Monitor anklemme und ping google eingebe, wird der Host auch nicht mehr gefunden.

Ich hab jetzt mal die resolv.conf zurückgesetzt und dhclient -r sowie dhclient aufgerufen. Es geht erstmal wieder aber ich hab den Eindruck ich mache alles richtig kaputt.